TLS加密流量分析方法、装置、终端设备及存储介质制造方法及图纸

本公开提供一种安全传输协议TLS加密流量分析方法、装置、终端设备及计算机可读存储介质，以至少解决证书认证过程细分颗粒度较粗、难以同时满足不同业务的加密流量安全、高效分析的问题。所述方法包括：在TLS加密流量的TLS握手阶段，判断所述TLS加密流量对应业务是否为第一类型业务；若是第一类型业务，则验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果；基于所述第一证书验证结果和所述第二证书验证结果分析所述TLS加密流量是否恶意流量。本公开通过判断TLS加密流量的业务类型，在为第一业务类型时才采用双向验证，在保障证书认证安全性的同时，满足业务的高效分析。业务的高效分析。业务的高效分析。

【技术实现步骤摘要】
TLS加密流量分析方法、装置、终端设备及存储介质


[0001]本公开涉及信息安全
，尤其涉及一种安全传输协议TLS加密流量分析方法、一种安全传输协议TLS加密流量分析系统、一种终端设备以及一种计算机可读存储介质。

技术介绍

[0002]数据传输前有安全传输协议(Transport Layer Security Protocol，简称TLS)握手阶段，而TLS握手阶段的信息是不加密的，也就是说该阶段是识别恶意流量的一个关键阶段，其中证书识别分析占据着重要的位置，通过比对合法证书与恶意证书特征，能够快速判读恶意证书，进而判断分析恶意流量，采取相关保护措施，恶意证书通常是自签名且签名的有效期较长、签名算法老套等典型特征，为此，证书作为恶意流量检测识别是一种重要的单维特征方式。然而目前TLS握手阶段的TLS加密流量分析方案，对于证书的认证，要么采用双向证书验证，要么采用单向证书验证，其细分颗粒度较粗，难以同时满足不同业务的加密流量的安全、高效检测。

技术实现思路

[0003]本公开提供了一种安全传输协议TLS加密流量分析方法、装置、终端设备及计算机可读存储介质，以至少解决现有技术中证书认证过程细分颗粒度较粗、难以同时满足不同业务的加密流量安全、高效分析的问题。
[0004]为实现上述目的，本公开提供一种安全传输协议TLS加密流量分析方法，包括：
[0005]在TLS加密流量的TLS握手阶段，判断所述TLS加密流量对应业务是否为第一类型业务；
[0006]若是第一类型业务，则验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果；
[0007]基于所述第一证书验证结果和第二证书验证结果分析所述TLS加密流量是否恶意流量。
[0008]在一种实施方式中，在判断所述TLS加密流量对应业务是否为第一类型业务之前，还包括：
[0009]根据业务的重要程度将业务划分第一类型业务和第二类型业务。
[0010]在一种实施方式中，在判断所述TLS加密流量对应业务是否为第一类型业务之后，以及在验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果之前，还包括：
[0011]若是第一类型业务，则创建双向证书认证容器；
[0012]所述验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果，包括：
[0013]在所述双向证书认证容器中验证客户端到服务器端的证书安全性，得到第一证书
验证结果，以及在所述双向证书认证容器中验证服务器端到客户端的证书安全性，得到第二证书验证结果。
[0014]在一种实施方式中，在判断所述TLS加密流量对应业务是否为第一类型业务之后，还包括：
[0015]若不是第一类型业务，则判断所述TLS加密流量对应业务是否为第二类型业务；
[0016]若是第二类型业务，则验证服务器端到客户端的证书安全性，得到第三证书验证结果；
[0017]基于所述第三验证结果分析所述TLS加密流量是否恶意流量。
[0018]在一种实施方式中，在判断所述TLS加密流量对应业务是否为第二类型业务之后，以及验证服务器端到客户端的证书安全性，得到第三证书验证结果之前，还包括：
[0019]若二第一类型业务，创建单向证书认证容器；
[0020]所述验证服务器端到客户端的证书安全性，得到第三证书验证结果，包括：
[0021]在所述单向证书认证容器中验证服务器端到客户端的证书安全性，得到第三证书验证结果。
[0022]在一种实施方式中，在基于所述第一证书验证结果和第二证书验证结果分析所述TLS加密流量是否恶意流量之后，还包括：
[0023]若TLS加密流量不是恶意流量，则建立服务器端和客户端之间的TLS会话连接；
[0024]在服务器端中存储所述TLS会话连接的客户端的会话ID和会话密钥。
[0025]在一种实施方式中，还包括：
[0026]创建重连服务器端；
[0027]在TLS会话连接阶段，持续监测服务器端和客户端之间是否出现会话中断；
[0028]若出现会话中断，则将服务器端存储的所述会话ID和会话密钥同步至所述重连服务器端，以使所述重连服务器端基于所述会话ID和会话密钥与客户端重新建立所述TLS会话连接。
[0029]为实现上述目的，本公开还提供一种安全传输协议TLS加密流量分析装置，包括：
[0030]第一判断模块，其设置为在TLS加密流量的TLS握手阶段，判断所述TLS加密流量对应业务是否为第一类型业务；
[0031]第一验证模块，其设置为在第一判断模块判断为是第一类型业务时，验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果；
[0032]分析模块，其设置为基于所述第一证书验证结果和第二证书验证结果分析所述TLS加密流量是否恶意流量。
[0033]为实现上述目的，本公开还提供一种终端设备，包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行所述的安全传输协议TLS加密流量分析方法。
[0034]为实现上述目的，本公开还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，所述处理器执行所述的安全传输协议TLS加密流量分析方法。
[0035]根据本公开提供的安全传输协议TLS加密流量分析方法，通过在TLS加密流量的
TLS握手阶段，判断所述TLS加密流量对应业务是否为第一类型业务；若是第一类型业务，则验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果；基于所述第一证书验证结果和所述第二证书验证结果分析所述TLS加密流量是否恶意流量。本公开通过判断TLS加密流量的业务类型，在为第一业务类型时才采用双向验证，在保障证书认证安全性的同时，满足业务的高效分析。本公开通过判断TLS加密流量的业务类型，在为第一业务类型时才采用双向验证，相较于现有技术证书认证的颗粒度划分更细，可以在满足不同业务进行证书认证保障其安全性的同时，满足业务的高效分析。
[0036]本公开的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
[0037]附图用来提供对本公开技术方案的进一步理解，并且构成说明书的一部分，与本公开的实施例一起用于解释本公开的技术方案，并不构成对本公开技术方案的限制。
[0038]图1为本公开实施例一提供的一种安全传输协议TLS加密流量分析方法本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全传输协议TLS加密流量分析方法，其特征在于，包括：在TLS加密流量的TLS握手阶段，判断所述TLS加密流量对应业务是否为第一类型业务；若是第一类型业务，则验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果；基于所述第一证书验证结果和所述第二证书验证结果分析所述TLS加密流量是否恶意流量。2.根据权利要求1所述的方法，其特征在于，在判断所述TLS加密流量对应业务是否为第一类型业务之前，还包括：根据业务的重要程度将业务划分第一类型业务和第二类型业务。3.根据权利要求1所述的方法，其特征在于，在判断所述TLS加密流量对应业务是否为第一类型业务之后，以及验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果之前，还包括：若是第一类型业务，则创建双向证书认证容器；所述验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及验证服务器端到客户端的证书安全性，得到第二证书验证结果，包括：在所述双向证书认证容器中验证客户端到服务器端的证书安全性，得到第一证书验证结果，以及在所述双向证书认证容器中验证服务器端到客户端的证书安全性，得到第二证书验证结果。4.根据权利要求1所述的方法，其特征在于，在判断所述TLS加密流量对应业务是否为第一类型业务之后，还包括：若不是第一类型业务，则判断所述TLS加密流量对应业务是否为第二类型业务；若是第二类型业务，则验证服务器端到客户端的证书安全性，得到第三证书验证结果；基于所述第三验证结果分析所述TLS加密流量是否恶意流量。5.根据权利要求4所述的方法，其特征在于，在判断所述TLS加密流量对应业务是否为第二类型业务之后，以及验证服务器端到客户端的证书安全性，得到第三证书验证结果之前，还包括：若是第二类型业务...

【专利技术属性】
技术研发人员：陆勰，徐雷，张曼君，王姗姗，谢泽铖，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：